004-【CS253】【网络安全】【Web Security】【斯坦福大学】【中

1. 在同源策略中，不同域的网站不能访问彼此的cookie。

2. 通过设置子域名可以限制不同域之间的cookie访问。

3. 在设置cookie时，不应该依赖路径（path）来限制访问。

4. 设置cookie时，应该将路径（path）明确设置为站点的根目录。

5. HTTP Only属性可以防止通过JavaScript访问cookie。

6. SameSite是一个cookie属性，可以防止cookie在由其他站点发起的请求中发送。

7. SameSite有三个设置：默认设置为none，lax设置仅对子资源请求生效，strict设置不发送任何cookie。

8. SameSite的默认设置可能导致一些使用情况出现问题，如Facebook评论框和广告追踪。

9. Google提出将SameSite的默认设置改为lax，并将使用SameSite等于none的cookie标记为secure以增加安全性。

10. 这些改进预计很快会在Chrome中推出。

11. 设置cookie的时长通常可以设置为30天，可以通过发送set cookie header来重置计数器。

12. 为了保护cookie免受JavaScript的攻击，可以设置HTTP only为true。

13. 为了防止CSRF攻击，可以设置same site属性。

14. 清除cookie时，需要确保所有属性与设置时完全相同，除了max age属性。

15. 同源策略的基本思想是不同源的页面不应该相互干扰，同源的定义是协议、主机名和端口号相同。

16. 在浏览器中，由于同源策略的限制，不同域名的网站无法直接相互访问和交互。

17. 同源策略的目的是保护用户的个人信息和数据安全，防止恶意网站获取用户的敏感信息。

18. 同源策略在浏览器中得到了一致的实现，但在某些遗留的Web功能中可能没有得到严格执行。

19. 有一些方法可以放宽同源策略的限制，如设置document.domain或使用iframe通信。

20. 但是需要注意，某些方法可能存在安全风险，需要谨慎使用。

21. 使用iframe和postMessage可以实现跨域通信。

22. postMessage API可以在两个不同源的页面之间发送字符串或对象。

23. postMessage API可以复制复杂对象并处理循环引用。

24. 通过transferable objects可以实现零拷贝传输数据。

25. 使用postMessage API可以绕过同源策略，实现页面间的合作和通信。